Tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione europea

SINTESI DI:

Regolamento (UE) 2018/1725 sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e alla libera circolazione di tali dati

QUAL È L’OBIETTIVO DEL REGOLAMENTO?

Il regolamento:

stabilisce le norme relative alle modalità secondo le quali le istituzioni, gli organi e gli organismi dell’Unione devono trattare i dati personali* che detengono sulle persone;
tutela i diritti e le libertà fondamentali delle persone, in particolare il diritto alla protezione dei dati personali e il diritto alla riservatezza;
allinea le norme per le istituzioni, gli organi e gli organismi dell’Unione a quelle del regolamento generale sulla protezione dei dati (GDPR) e della direttiva (UE) 2016/680, nota come direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie (LED), in vigore da maggio 2018;
abroga il regolamento (CE) n. 45/2001, che in precedenza conteneva le norme sul trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione, e garantisce che essi rispettino gli stessi rigorosi standard stabiliti nel GDPR;
abroga la decisione n. 1247/2002/CE relativa al Garante europeo della protezione dei dati (GEPD).

PUNTI CHIAVE

I dati personali devono essere:

trattati in modo lecito, equo e trasparente;
raccolti per scopi specifici, espliciti e legittimi;
adeguati, pertinenti e limitati a quanto necessario;
esatti e, se necessario, aggiornati;
conservati in modo da consentire l’identificazione degli interessati per un arco di tempo non superiore a quello necessario;
trattati con la dovuta riservatezza.

Il titolare del trattamento* è responsabile, e deve essere in grado, di dimostrare il rispetto di tutti i principi di elaborazione dei dati sopra menzionati.

Inoltre, i dati personali:

possono essere trasmessi a un destinatario nell’Unione diverso da un’istituzione, un organo o un organismo dell’Unione solo se soggetti a garanzie supplementari;
possono essere trasferiti al di fuori dell’Unione solo a condizioni rigorose;
che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, e il trattamento di dati genetici, di dati biometrici intesi a identificare in modo univoco una persona fisica o di dati relativi alla salute o di dati relativi alla vita sessuale della persona fisica o all’orientamento sessuale non devono essere trattati se non in circostanze speciali;
necessitano di adeguate garanzie se archiviati nell’interesse pubblico o per scopi scientifici, storici o statistici.

Le richieste di consenso di un individuo all’uso dei propri dati devono essere in forma comprensibile e facilmente accessibile utilizzando un linguaggio chiaro e semplice. Il consenso deve essere un’azione positiva inequivocabile da parte dell’individuo.

Gli individui (noti come gli «interessati» nella legislazione) hanno il diritto di:

ritirare il loro consenso in qualsiasi momento, che dovrebbe essere un’azione semplice quanto quella di dare il consenso;
sapere se i loro dati personali vengono trattati o meno e avere accesso agli stessi;
ottenere la correzione di eventuali dati personali inesatti;
rimuovere o limitare l’elaborazione dei dati personali a condizione che vengano soddisfatte determinate condizioni;
ricevere i loro dati personali forniti al titolare del trattamento in un formato strutturato, di uso comune e leggibile tramite un dispositivo automatico, e trasmetterli a un altro responsabile del trattamento;
opporsi all’uso dei loro dati personali per scopi di interesse pubblico, a causa della loro situazione particolare;
non essere soggetti a una decisione basata esclusivamente sul trattamento automatizzato, che abbia per loro conseguenze legali;
sporgere reclamo presso il GEPD se ritengono che i loro dati personali siano trattati in modo tale da violare il regolamento;
essere risarciti per qualsiasi danno materiale o immateriale subito a causa delle azioni di un’istituzione, un organo o un organismo dell’Unione;
incaricare un’organizzazione senza scopo di lucro di sporgere reclamo presso il GEPD.

I titolari del trattamento:

devono informare gli interessati in un linguaggio semplice e con informazioni pratiche, quali i recapiti del titolare del trattamento dei dati e le finalità del trattamento, quando vengono raccolti tali dati;
devono rispondere a qualsiasi richiesta degli interessati, quali ad esempio richieste di accesso o correzione dei loro dati personali, il prima possibile ed entro un mese;
mettono in atto misure tecniche e organizzative appropriate, compresa la pseudonimizzazione*, per garantire che il trattamento dei dati personali sia conforme al regolamento;
devono utilizzare esclusivamente responsabili del trattamento dei dati che soddisfino i requisiti dell’Unione;
tengono una registrazione dettagliata del trattamento dei dati sotto la loro responsabilità;
cooperano con il GEPD;
notificano quanto prima possibile al GEPD e, in alcuni casi, anche al soggetto interessato qualsiasi violazione dei dati personali;
effettuano la valutazione d’impatto sulla protezione dei dati per determinati trattamenti di dati personali ad alto rischio;
garantiscono la riservatezza e la sicurezza delle loro reti di comunicazione elettronica;
informano il GEPD al momento di elaborare misure amministrative o regole interne sul trattamento dei dati personali.

La legislazione istituisce la funzione di GEPD, nominato per un mandato di cinque anni, rinnovabile una sola volta. Con sede a Bruxelles, il titolare della funzione:

agisce in completa autonomia;
tratta tutte le informazioni riservate come segreto professionale;
controlla il modo in cui le istituzioni, gli organi e gli organismi dell’Unione applicano la legislazione;
promuove la comprensione e la consapevolezza del pubblico sul trattamento dei dati personali;
gestisce i reclami e conduce indagini;
avverte e sanziona i responsabili del trattamento dei dati;
rinvia le questioni alla Corte di giustizia, che gestisce le eventuali controversie sulla legislazione;
riferisce ogni anno al Parlamento europeo, al Consiglio e alla Commissione europea;
collabora con le autorità nazionali di controllo della protezione dei dati.

Regolamento interno del GEPD

Con una decisione del 15 maggio 2020 viene adottato il regolamento interno del GEPD. Essa definisce in dettaglio:

la missione, i principi guida e l’organizzazione del GEPD;
le modalità del monitoraggio e dell’accertamento dell’applicazione del regolamento;
le procedure per la consultazione legislativa, il monitoraggio di tecnologie, progetti di ricerca e procedimenti giudiziari;
le procedure per la cooperazione con autorità di controllo nazionale e la cooperazione internazionale.

Disposizioni speciali per le istituzioni, gli organi e gli organismi dell’Unione

Disposizioni speciali si applicano a istituzioni, organi e organismi dell’Unione che trattano dati personali operativi* per le finalità di applicazione della legge (ad es. Eurojust). Sono trattate in uno specifico capitolo del regolamento. Le regole contenute in questo capitolo sono allineate con la direttiva LED. Inoltre, negli atti costituenti di questi organi, uffici e organismi, possono essere stabilite norme più specifiche che tengano conto delle loro particolari caratteristiche.

Il trattamento di dati personali operativi da parte di Europol e della Procura europea è escluso dall’ambito di applicazione del regolamento ed è invece disciplinato da disposizioni specifiche negli atti giuridici che le istituiscono. Tuttavia, il trattamento amministrativo di dati personali (ad esempio per la gestione del personale) presso di essi è soggetto al regolamento.

I responsabili della protezione dei dati

I titolari del trattamento nominano inoltre un responsabile della protezione dei dati per un periodo da tre a cinque anni che:

fornisca una consulenza indipendente sul trattamento dei dati personali;
controlli il rispetto delle norme sulla protezione dei dati.

Relazioni

La Commissione europea deve presentare la sua prima relazione sull’applicazione del regolamento entro il 30 aprile 2022.

A PARTIRE DA QUANDO SI APPLICA IL REGOLAMENTO?

Il regolamento è in vigore dall’11 dicembre 2018, con l’eccezione del trattamento dei dati personali da parte di Eurojust, per il quale è in vigore dal 12 dicembre 2019.

CONTESTO

L’articolo 8 della Carta dei diritti fondamentali stabilisce che tutti hanno diritto alla protezione dei dati personali. L’articolo 16 del trattato sul funzionamento dell’Unione europea sviluppa ulteriormente tale diritto. Questo articolo costituisce la base giuridica per qualsiasi legislazione dell’Unione in materia di protezione dei dati.

Per ulteriori informazioni, si veda:

La protezione dei dati nell’Unione (Commissione europea).

TERMINI CHIAVE

Dati personali. Tutte le informazioni concernenti una persona fisica identificata o identificabile.

Titolare del trattamento. Qualsiasi istituzione, organo od organismo dell’Unione, o sua entità organizzativa, che determina i mezzi e le finalità del trattamento dei dati personali.

Pseudonimizzazione. Il trattamento di dati personali in modo che un individuo non possa essere identificato senza l’uso di informazioni aggiuntive conservate altrove.

Dati personali operativi. Tutti i dati personali trattati per lo svolgimento dei compiti legati all’applicazione della legge.

DOCUMENTO PRINCIPALE

Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).

DOCUMENTI CORRELATI

Decisione (UE) 2020/969 della Commissione, del 3 luglio 2020, che stabilisce norme di attuazione riguardanti il responsabile della protezione dei dati, le limitazioni dei diritti degli interessati e l’applicazione del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, e che abroga la decisione 2008/597/CE della Commissione (GU L 213 del 6.7.2020, pag. 12).

Decisione del Garante europeo della protezione dei dati, del 15 maggio 2020, di adozione del regolamento interno del GEPD (GU L 204 del 26.6.2020, pag. 49).

Decisione del Garante europeo della protezione dei dati, del 2 aprile 2019, sulle norme interne relative alle limitazioni di determinati diritti degli interessati in relazione al trattamento dei dati personali nell’ambito delle attività svolte dal Garante europeo della protezione dei dati (GU L 99I del 10.04.2019, pag. 1).

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

Le successive modifiche al Regolamento (UE) 2016/679 sono state integrate nel documento di base. La versione consolidata ha solo un valore documentario.

Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).

Si veda la versione consolidata.

Ultimo aggiornamento: 14.01.2022